.png "Wirtualizacja sieci – szczegóły techniczne cz. 3"){kind=icon}
.png "Wirtualizacja sieci – Szczegóły techniczne")
.png "Wirtualizacja sieci – szczegóły techniczne cz. 5"){kind=icon}
Wirtualizacja sieci – Szczegóły techniczne, cz. 4 .png "Udostępnij na: Facebook")
Tłumaczenie na podstawie Network Virtualization technical details: Michal Ledwoch
Opublikowano: 2013-01-11
Wstęp
Zagadnienie wirtualizacji sieci wiąże się ściśle ze zrozumieniem jej działania. W wirtualizacji sieci klient definiowany jest jako „właściciel” grupy maszyn wirtualnych, które rozmieszczone są w centrach danych. Klientem może być firma korporacyjna lub przedsiębiorstwo (publiczne bądź prywatne). Każdy użytkownik może posiadać w centrach danych jednego i więcej klientów sieci. Natomiast każdy klient sieci składa się z co najmniej jednego klienta podsieci wirtualnych.
Sieć klientów:
- każda sieć klienta składa się z co najmniej jednej wirtualnej podsieci. Sieć klienta tworzy granicę izolacji, gdzie maszyny wirtualne w sieci klienta mogą komunikować się ze sobą. W wyniku tego, w podsieciach wirtualnych klientów prefiksy adresów IP nie nakładają się,
- każda sieć kliencka posiada domenę routingu, która identyfikuje sieci klienta. Sieci klienckie posiadają Routing domain ID (RDID), który identyfikuje sieć klienta. RDID jest przypisywany przez administratorów centrów danych bądź przez oprogramowanie, służące do zarządzania centrami danych (np. Center Virtual Machine Manager). Routing domain ID ma następujący format: {11111111-2222-3333-4444-000000000000}.
Sieci wirtualne:
- wirtualne podsieci działają w trzeciej warstwie modelu TCP/IP oraz posiadają semantykę dla wirtualnych maszyn w tej samej podsieci. Wirtualna podsieć jest domeną rozgłoszeniową (podobanie jak VLAN). Maszyny wirtualne, znajdujące się w tej samej podsieci, muszą używać tego samego prefiksu adresu IP. Każda wirtualna podsieć może używać jednocześnie przedrostków dla adresacji, opartych o protokoły IPv4 oraz IPv6,
- każda wirtualna podsieć należy do jednej sieci klienta (RDID) i ma przypisany unikalny identyfikator podsieci (VSID). VSID może pochodzić z zakresu od 4096 do 2^24-2.
Do głównych zalet sieci klienta i domeny routingu możemy zaliczyć możliwość przenoszenia topologii sieci do Chmury. Rys. 1. przedstawia firmę, która posiada dwie oddzielne sieci – R&D Netto oraz Sprzedaż. Obie sieci posiadają różne identyfikatory routingu, w związku z tym są odizolowane od siebie, pomimo że należą do tej samej firmy. Łatwo można zauważyć, że zarówno RDID, jak i VSID są unikalne w poniższej topologii.
.jpg "Topologia sieciowa klienta")
Rys. 1. Topologia sieciowa klienta.
Na Rys. 1. maszyny wirtualne z VSID 5001 mogą przesyłać swoje pakiety do wirtualnych maszyn znajdujących się w podsieciach VSID 5002 oraz 5003. Przed dostarczeniem pakietów do przełącznika Hyper-V, wirtualizator sieci Hyper-V aktualizuje VSID przychodzącego pakietu na VSID docelowej wirtualnej maszyny. Zmiana VSID nastąpi tylko wtedy, gdy obie maszyny będą znajdowały się w obrębie tego samego RDID. Natomiast, jeśli VSID pakietu przychodzącego nie odpowiada VSID maszyny docelowej, to taki pakiet zostanie odrzucony. Związku z tym, aby hosty mogły się ze sobą komunikować muszą należeć do tego samego RDID. Każda wirtualna podsieć wykorzystuję drugą i trzecią warstwę modelu TCP/IP. Wszystkie wirtualne maszyny mogą wysłać pakiet tylko do maszyn, które posiadają ten sam VSID. Każdy VSID może być związany z adresem multisesji w PA. VSID zapewnia izolację domen. Każdy adapter wirtualnej sieci podłączony jest do przełącznika Hyper-V, który posiada VSID ACL. Jeżeli pakiet dotrze do przełącznika Hyper-V wraz z innym pakietem, to ten pakiet zostanie odrzucony. Pakiety będą dostarczanie do przełącznika Hyper-V tylko wtedy, gdy VSID, po deenkapsulacji pakietu, będzie odpowiadał VSID umieszczonym na jednym z portów przełącznika. Na powyższym rysunku, pakiety przekazywane z VSID 5001 do 5003 muszą mieć zmodyfikowany VSID przed dostarczeniem do maszyny docelowej. Jeśli porty przełącznika Hyper-V nie posiadają VSID ACL wirtualnej karty sieciowej, która jest podłączona do przełącznika, to oznacza, że dane urządzenie nie należy do żadnej wirtualnej podsieci.
Gdy wirtualna maszyna wysyła pakiet z VSID z przełącznika Hyper-V, to porty wiążą pakiet w out-of-band (OOB). Jeżeli Generic Routing Encapsulation (GRE) wykorzystany jest jako mechanizm wirtualizacji IP, to pole nagłówka GRE z enkapsulowanego pakietu posiada VSID. Po stronie odbiorcy wirtualizator sieci Hyper-V dostarcza do przełącznika Hyper-V VSID w OOB wraz z deenkapsulowanym pakietem. Natomiast, jeśli wykorzystywany jest mechanizm IP Rewrite, a pakiet jest przesyłany do innego fizycznego hosta, to adres IP jest zamieniany na adresy CA oraz PA. Z kolei VSID i OOB są odrzucane. Po stronie odbiorcy Hyper-V wirtualizacja sieci wyszukuje politykę, a następnie dodaje VSID do OOB danych przed przekazaniem pakietu do przełącznika Hyper-V.